Fuite des données personnelles : après les réseaux sociaux, la télémédecine
Pendant des années les utilisateurs de Facebook ont partagé allègrement leurs informations personnelles sans se préoccuper de ce qu’elles devenaient. Avec le scandale Cambridge Analytica, s’est posée à grand bruit la question de la protection de la vie privée, et le fondateur du plus grand réseau social du monde a dû répondre aux questions parfois acerbes de sénateurs des heures durant. Mais Facebook et les réseaux sociaux ne devraient pas être les seuls à attirer notre attention.
En effet le développement de la télémédecine et en particulier les appareils implantés qui enregistrent et transmettent en permanence des données de santé ne sont pas sans poser des questions graves. Faut-il attendre un nouveau scandale pour se pencher sérieusement sur la télémédecine et le partage des données personnelles de santé ? Depuis mai 2018 est appliqué dans tous les pays de l’Union européenne le Règlement général sur la protection des données, ou RGPD. C’est l’occasion de se demander si les industriels de la santé ont déjà pris des libertés avec la réglementation en vigueur en France.
Des systèmes faillibles : cybercriminalité et accès aux données pour des non médecins
En Mai 2017 une étude menée par les firmes de sécurité Whitescope et Ponemon Institute, a révélé que les stimulateurs cardiaques connectés pouvaient être une proie très facile pour des cyberattaques. Les chercheurs ont même pu se procurer des pacemakers sur eBay et récupérer la totalité des données des patients non cryptées. Cela montre à quel point ces systèmes, quand ils ne sont pas bien protégés, peuvent être facilement victimes de la cybercriminalité. Cette faille est d’autant plus grave qu’elle concerne des données très sensibles et personnels, en l’occurrence la vie même notre organe le plus intime : le cœur.
En France les données de santé sont considérées comme des données sensibles et elles sont soumises à une réglementation particulière. En effet la loi est très claire : « la communication de données médicales individuelles […] ne peut se faire que sous l’autorité et en présence d’un médecin. » Or il apparaît que certains systèmes de santé connectés, étant donné leur fonctionnement, ne respectent pas cette réglementation. Par exemple le défibrillateur automatique implantable (DAI) de la société Biotronik collecte et transmet tellement d’informations via son système Home monitoring, que celles-ci doivent être triées avant que le médecin traitant ne les reçoive. Or ce traitement est fait par des techniciens de la société productrice de l’appareil en question et même s’ils sont soumis à confidentialité », cela contrevient explicitement à la loi française. De la même façon, dans le but d’aider els médecins à faire le tri parmi les alertes remontées par les systèmes cardiaques connectés, la société Implicity propose des solutions logicielles destinées à distinguer ce qui relève de l’urgence et ce qui n’est que suivi du patient. Bien que fondée par des médecins cardiologues, cette société (et son produit) pose également la question de l’accès à des données de santé par un logiciel dont on ignore tout et par des personnes qui ne sont pas les médecins traitants en titre.
L’utilisation illégale des données médicales
Les données de santé peuvent être utilisées à des fins de recherches mais à deux conditions : elles doivent être anonymisées à bref délai, c’est-à-dire que dans les minutes qui suivent leur collecte il doit être impossible de savoir à qui elles appartiennent ; et la recherche doit faire l’objet d’une autorisation explicite de la part de la CNIL (Commission Nationale de l’Informatique et des Libertés). D’après Arnaud Rosier, médecin cardiologue et fondateur d’Implicity : « Les médecins en permanence réutilisent les données pour faire de la recherche, et ne vont pas forcément demander son avis à la Cnil. » D’ailleurs Biotronik a publié en 2007 une étude sur la télécardiologie qui n’a jamais été autorisée par la CNIL.
L’usage des données médicales personnelles à des fins de recherche, s’il est illégal, n’a pas de quoi scandaliser outre mesure. On ne peut qu’espérer que les autorités compétentes et en particulier la Cnil, dirigée depuis 2011 par Isabelle Falque-Pierrotin, se saisissent de la question et ne laissent plus penser que les données sensibles peuvent être utilisées sans vergogne et au mépris de la loi. En revanche cela est plus inquiétant si l’on considère le marché très lucratif du « Big Data » qui, selon l’IDC, pourrait atteindre 203 milliards de dollars à l’échelle mondiale en 2020. En effet la revente à des tiers pour des objectifs de marketing est un moyen très simple et tentant de monétiser les données médicales personnelles. Or si celles-ci sont accessibles à du personnel non médecin comme c’est le cas du système Home Monitoring de Biotronik, comment être sûr qu’elles ne seront pas utilisées à d’autres fins que le soin des patients ou la recherche médicale en général ? En la matière l’expérience nous a enseigné que l’angélisme n’était pas approprié et qu’on ne peut laisser aux industriels le soin de s’autoréguler.
Inaction de la CNIL
En 2016 Délia Rahal-Lökskog, chef du service de la santé à la direction conformité de la CNIL, donnait une interview au magazine sciences et avenir et alertait sur le fait que la plupart des applications de santé « n’offre pas les protections suffisantes : défauts de sécurisation des communications, partage d’informations personnelles en direction de publicitaires et envoi de "données agrégées" susceptibles de permettre une identification des utilisateurs par des tiers. » Ce sont précisément dans ces dérives que certains appareils connectés sont tombés et il serait judicieux que la CNIL se penche sur ces industriels avant que la télémédecine ne vive son affaire Cambridge Analytica, ce qui serait dommageable à ce qui est par ailleurs une vraie avancée en termes de santé publique.
Pendant des années les utilisateurs de Facebook ont partagé allègrement leurs informations personnelles sans se préoccuper de ce qu’elles devenaient. Avec le scandale Cambridge Analytica, s’est posée à grand bruit la question de la protection de la vie privée, et le fondateur du plus grand réseau social du monde a dû répondre aux questions parfois acerbes de sénateurs des heures durant. Mais Facebook et les réseaux sociaux ne devraient pas être les seuls à attirer notre attention.
En effet le développement de la télémédecine et en particulier les appareils implantés qui enregistrent et transmettent en permanence des données de santé ne sont pas sans poser des questions graves. Faut-il attendre un nouveau scandale pour se pencher sérieusement sur la télémédecine et le partage des données personnelles de santé ? Depuis mai 2018 est appliqué dans tous les pays de l’Union européenne le Règlement général sur la protection des données, ou RGPD. C’est l’occasion de se demander si les industriels de la santé ont déjà pris des libertés avec la réglementation en vigueur en France.
Des systèmes faillibles : cybercriminalité et accès aux données pour des non médecins
En Mai 2017 une étude menée par les firmes de sécurité Whitescope et Ponemon Institute, a révélé que les stimulateurs cardiaques connectés pouvaient être une proie très facile pour des cyberattaques. Les chercheurs ont même pu se procurer des pacemakers sur eBay et récupérer la totalité des données des patients non cryptées. Cela montre à quel point ces systèmes, quand ils ne sont pas bien protégés, peuvent être facilement victimes de la cybercriminalité. Cette faille est d’autant plus grave qu’elle concerne des données très sensibles et personnels, en l’occurrence la vie même notre organe le plus intime : le cœur.
En France les données de santé sont considérées comme des données sensibles et elles sont soumises à une réglementation particulière. En effet la loi est très claire : « la communication de données médicales individuelles […] ne peut se faire que sous l’autorité et en présence d’un médecin. » Or il apparaît que certains systèmes de santé connectés, étant donné leur fonctionnement, ne respectent pas cette réglementation. Par exemple le défibrillateur automatique implantable (DAI) de la société Biotronik collecte et transmet tellement d’informations via son système Home monitoring, que celles-ci doivent être triées avant que le médecin traitant ne les reçoive. Or ce traitement est fait par des techniciens de la société productrice de l’appareil en question et même s’ils sont soumis à confidentialité », cela contrevient explicitement à la loi française. De la même façon, dans le but d’aider els médecins à faire le tri parmi les alertes remontées par les systèmes cardiaques connectés, la société Implicity propose des solutions logicielles destinées à distinguer ce qui relève de l’urgence et ce qui n’est que suivi du patient. Bien que fondée par des médecins cardiologues, cette société (et son produit) pose également la question de l’accès à des données de santé par un logiciel dont on ignore tout et par des personnes qui ne sont pas les médecins traitants en titre.
L’utilisation illégale des données médicales
Les données de santé peuvent être utilisées à des fins de recherches mais à deux conditions : elles doivent être anonymisées à bref délai, c’est-à-dire que dans les minutes qui suivent leur collecte il doit être impossible de savoir à qui elles appartiennent ; et la recherche doit faire l’objet d’une autorisation explicite de la part de la CNIL (Commission Nationale de l’Informatique et des Libertés). D’après Arnaud Rosier, médecin cardiologue et fondateur d’Implicity : « Les médecins en permanence réutilisent les données pour faire de la recherche, et ne vont pas forcément demander son avis à la Cnil. » D’ailleurs Biotronik a publié en 2007 une étude sur la télécardiologie qui n’a jamais été autorisée par la CNIL.
L’usage des données médicales personnelles à des fins de recherche, s’il est illégal, n’a pas de quoi scandaliser outre mesure. On ne peut qu’espérer que les autorités compétentes et en particulier la Cnil, dirigée depuis 2011 par Isabelle Falque-Pierrotin, se saisissent de la question et ne laissent plus penser que les données sensibles peuvent être utilisées sans vergogne et au mépris de la loi. En revanche cela est plus inquiétant si l’on considère le marché très lucratif du « Big Data » qui, selon l’IDC, pourrait atteindre 203 milliards de dollars à l’échelle mondiale en 2020. En effet la revente à des tiers pour des objectifs de marketing est un moyen très simple et tentant de monétiser les données médicales personnelles. Or si celles-ci sont accessibles à du personnel non médecin comme c’est le cas du système Home Monitoring de Biotronik, comment être sûr qu’elles ne seront pas utilisées à d’autres fins que le soin des patients ou la recherche médicale en général ? En la matière l’expérience nous a enseigné que l’angélisme n’était pas approprié et qu’on ne peut laisser aux industriels le soin de s’autoréguler.
Inaction de la CNIL
En 2016 Délia Rahal-Lökskog, chef du service de la santé à la direction conformité de la CNIL, donnait une interview au magazine sciences et avenir et alertait sur le fait que la plupart des applications de santé « n’offre pas les protections suffisantes : défauts de sécurisation des communications, partage d’informations personnelles en direction de publicitaires et envoi de "données agrégées" susceptibles de permettre une identification des utilisateurs par des tiers. » Ce sont précisément dans ces dérives que certains appareils connectés sont tombés et il serait judicieux que la CNIL se penche sur ces industriels avant que la télémédecine ne vive son affaire Cambridge Analytica, ce qui serait dommageable à ce qui est par ailleurs une vraie avancée en termes de santé publique.
Contacter la rédaction
